Если мы проанализируем инцидент с CardSystem Solutions, основываясь на тех данных, что стали доступны средствам массовой информации, то обнаружим в этой истории несколько «странностей»...

Программа-шпион, которая якобы была обнаружена в сети CardSystem Solutions, до сих пор не попала в руки антивирусных компаний. В аналогичной ситуации с троянцем Hotworld экземпляры вредоносной программы были в течение двух дней после обнаружения добавлены в базы практически всех антивирусных программ.
Подобный троянец, очевидно, не был клавиатурным шпионом — вряд ли 40 миллионов номеров кредитных карт вводились вручную с клавиатуры зараженного компьютера.
Чтобы получить доступ к базе данных, где хранились номера карт, троянец должен был быть создан с учетом формата этой базы данных.
Неясен способ, при помощи которого украденная информация выводилась за пределы CardSystem Solutions.
На самом деле, за всеми громкими кражами данных в этом году видно новое лицо киберпреступности. Преступности нового уровня. Это люди, которые готовы потратить десятки тысяч долларов на получение «инсайдерской» информации об атакуемом объекте. Это люди, обладающие знаниями и способами обхода многоуровневых систем защиты от вторжений. Это люди, которые не продают ни троянские программы по 10 долларов за штуку, ни украденные с их помощью данные через общедоступные (хоть и считающиеся «андерграундными») форумы и сайты.
В последнее время мы все чаще и чаще слышим о подобных взломах — их стало больше, гораздо больше чем раньше. И больше их стало именно потому, что первые попытки подобных атак увенчались успехом. Очевидно, что инфраструктура безопасности крупных финансовых институтов наиболее уязвима. Множество компьютеров, разнородные сети и права доступа, множество сотрудников — все это является дополнительными факторами, облегчающими задачу злоумышленникам. В крупной сети зачастую невозможно найти даже известный документ, не говоря уж об обнаружении троянской программы, искусно маскирующей свое присутствие в системе.
Не стоит забывать и об уникальности подобных троянцев. Для них практически невозможно создать эвристические методы детектирования, а разовость их применения дает им шанс никогда не попасть в антивирусные базы — в отличие от червей, расходящихся по миру миллионами копий.
Таким образом, можно сделать вывод о постепенном изменении вектора атак с конечных пользователей в сторону непосредственных владельцев и держателей интересующей преступников информации.

Анализ

Хотя прозвучавшее в статье заявление о невозможности применения клавиатурных шпионов видится сомнительным (для хищения номеров кредитных карт достаточно перехваченного с помощью такой программы имени пользователя и пароля для доступа к базе данных), проблема троянских программ, червей и хищения конфиденциальной информации на сегодняшний день стоит крайне остро.
Действительно, существующие способы проникновения вредоносных кодов на пользовательский компьютер очень разнообразны, и каждый день мы слышим об обнаружении новых уязвимостей. Работа по латанию обнаруженных дыр бесконечна и не дает 100% гарантии безопасности в силу реактивности применяемого метода.
Гораздо более эффективным методом борьбы с утечками информации является контроль исполняемых файлов и доступа к устройствам локального ввода/вывода информации.

Решение проблемы


Решение Эффективность защиты* Принцип предотвращения угрозы Особенности решения
Контроль исполняемых файлов 99% Па компьютере пользователя запускаются только разрешенные исполняемые файлы Для разрешенных к исполнению файлов создается MD5 хэш, что исключает возможность подмены легитимного файла аналогичным, но содержащим вредоносный код, даже при полном соответствии размера, имени, даты создания и прочих параметров
Контроль устройств ввода/вывода 95% Гибкое разграничение полномочий на права пользования устройствами ввода/вывода информации (FDD, CD/DVD-RW, USB и т.д.) Средство контроля позволяет не только выдавать разрешения на использование устройств, но и контролировать содержимое копируемых файлов. Таким образом, злоумышленник не может маскировать секретную информацию, вводя в заблуждение службу безопасности.

* - указанная эффективность защиты базируется на практическом опыте применения решений специалистами компании БМС Консалтинг

По вопросам информационной безопасности обращайтесь в отдел Информационной Безопасности компании «БМС Консалтинг»: